ПАТЧ ДЛЯ УЯЗВИМОСТИ STAGEFRIGHT НЕЭФФЕКТИВЕН

https://xakep.ru/wp-content/uploads/2015/08/Stagefright-1000x563.jpg
Об уязвимости Stagefright, обнаруженной недавно в платформе Android, явно будут говорить еще долго. Компания Zimperium, нашедшая брешь, уже сделала все возможное, чтобы помочь пользователям обезопасить себя. Корпорация Google поспешила закрыть уязвимость в устройствах Nexus. Следом, невзирая на чудовищную фрагментацию рынка Android-устройств, потянулись и другие производители, такие как Samsung, HTC, LG, Sony и Android One. Казалось бы, серьезные проблемы с безопасностью наконец расшевелили индустрию, заставив компании объединиться и двигаться вперед. Однако исследователи компании Exodus Intelligence сообщают, что патчи против Stagefright неэффективны.

Уязвимость, затрагивающая без малого миллиард Android-устройств по всему миру, по-прежнему угрожает даже тем пользователям, кому повезло получить патч от производителя. Специалистам Exodus удалось спровоцировать краш системы на пропатченном Nexus 5, отправив на него MMS-сообщение с закодированным нужным образом файлом mp4. Как такое возможно, специалисты компании пошагово рассказали в блоге.

Компания Exodus уведомила Google о проблеме 7 августа и получила ответ: «Мы уже разработали патч и отправили его нашим партнерам, чтобы они могли защитить своих пользователей. Для устройств Nexus 4/5/6/7/9/10 и Nexus Player исправление будет выпущено в сентябре, в составе ежемесячного обновления». Из этого заявления не совсем ясно, когда именно «патч для патча» дойдет до пользователей девайсов, отличных от Nexsus.

Специалисты Exodus, очевидно, опасаются критики со стороны коллег по цеху, все же положенные 90 дней они ждать не стали: Google дали всего неделю на разработку и деплой нового патча. В блоге Exodus оправдывают свой поступок тем, что информация об уязвимости была раскрыта до них, и с этого момента прошло более 120 дней. Exodus, в свою очередь, не могли держать в тайне неработоспособность патча, в связи с широким резонансом вокруг проблемы Stagefright: «Этот баг привлек к себе невероятное количество внимания. Скорее всего, мы не единственные, кто заметил брешь [в патче]. Но у других людей могут возникнуть дурные намерения».